[HaBo]

testtestson

Anzeige

hi,
ich habe eine frage wie ich den grund fuer einen win xp absturz feststellen kann.
absturz mit bluescreen. welche daten sind notwendig bzw. wo bekommt man diese daten her um den grund zu finden (und daraus dann eine loesung zu finden).
danke

Machine

Am besten schaust du mal ins Ereignisprotokoll...

__________________
Kostenloses Lifestyle ArtikelverzeichnisMein internationales, kostenloses Artikelverzeichnis

testtestson

und wo bekomme ich das her?
bitte alle angaben mit weg wie man die daten bekommt angeben

xrayn

So bekommt man nicht den Grund des Absturzes raus. Guck dir lieber mit WinDbg den Minidump an (sollte unter %SystemRoot%\Minidump liegen).

lightsaver

Ich will ja nicht böse klingen, aber glaubst du wirklich, dass der Threadersteller das hinbekommen würde? Ich glaube das eher nicht.

Wenn du es nicht mal schaffst, kurz bei Google sowas rauszusuchen (hier z.B. einfach nur xp ereignisanzeige und dann das 3. Ergebnis), dann werde ich das Thema schließen. Soviel Eigeninitiative ist nun wirklich nicht zuviel verlangt!

So, nun zurück zum Thema:

Der Tip mit der Ereignisanzeige ist zwar meist nicht schlecht, bei Bluescreens aber nicht die Informationsquelle, die ich als erstes überprüfen würde.

Das erste was du machst ist folgendes:
Du guckst dir den Bluescreen genau an. Da steht dann ein Stop-Code. der fängt mit 0x an. Danach könntest du bei Google dann schonmal suchen.

Ein Tip:
Wenn der Code z.B. 0x0000007F lautet, dann google nicht nur nach genau dieser Schreibweise sondern auch noch nach "stop 0x7f" (ohne die ""), da viele ebend die Nullen nach dem 0x weglassen.

So, wenn in der Meldung noch mehr steht, z.B. ein Treiber oder so, dann notiere dir das auch, da es für die Suche sehr hilfreich ist.

Diese Meldung könntest du hier dann z.B. noch posten. Sollten wir dann noch mehr Infos brauchen, werden wir dich wohl nach dem Minidump fragen, das können wir dir dann aber auch noch zu dem Zeitpunkt erklären.
Wie ich schon oben angedeutet habe, bezweifel ich, dass du bei deinem Kenntnisstand (den ich mal aus deinen Fragen schließe) das Minidump lesen könntest. Da solltest du dann doch schon zumindest nach den gröbsten Sachen aus nem Bluescreen suchen können und diese dann auch verstehen.

testtestson

also mein kenntnisstand ist gut genug um den minidump auszulesen. was das googeln angeht, ja klar kann man das machen, allerdings ist das thema abstuerze bei windows so umfangreich, das man da tagelang suchen kann. deshalb habe ich gefragt was die leute, die ich um hilfe frage als sinnvoll erachten um daten die wirklich helfen, zu erhalten.
ich denke das ist sinnvoll, oder???
was die bitte um vollstaendige befelsangabe angeht:
damit will ich nur "hilfen" wie der ersten entgehen "Am besten schaust du mal ins Ereignisprotokoll..."
solche aussagen sind naemlich ueberhaupt nicht hilfreich, sondern purer schwachsinn.

@lightsaver: und man sollte nicht aufgrund einer frage den kenntnisstand eines nutzers beurteilen (das ist NICHT unhoeflich gemeint, sondern nur ein tip).

data aus der dmp datei:

Microsoft (R) Windows Debugger Version 6.11.0001.404 X86
Copyright (c) Microsoft Corporation. All rights reserved.


Loading Dump File [C:\WINDOWS\Minidump\Mini040309-01.dmp]
Mini Kernel Dump File: Only registers and stack trace are available

Symbol search path is: *** Invalid ***
************************************************** **************************
* Symbol loading may be unreliable without a symbol search path. *
* Use .symfix to have the debugger choose a symbol path. *
* After setting your symbol path, use .reload to refresh symbol locations. *
************************************************** **************************
Executable search path is:
************************************************** *******************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y <symbol_path> argument when starting the debugger. *
* using .sympath and .sympath+ *
************************************************** *******************
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Windows XP Kernel Version 2600 (Service Pack 3) UP Free x86 compatible
Product: WinNt, suite: TerminalServer SingleUserTS
Machine Name:
Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055b1c0
Debug session time: Fri Apr 3 09:16:29.270 2009 (GMT+2)
System Uptime: 0 days 11:04:44.346
************************************************** *******************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y <symbol_path> argument when starting the debugger. *
* using .sympath and .sympath+ *
************************************************** *******************
Unable to load image ntoskrnl.exe, Win32 error 0n2
*** WARNING: Unable to verify timestamp for ntoskrnl.exe
*** ERROR: Module load completed but symbols could not be loaded for ntoskrnl.exe
Loading Kernel Symbols
.................................................. .............
.................................................. ..............
............
Loading User Symbols
Loading unloaded module list
.................
Unable to load image fltMgr.sys, Win32 error 0n2
*** WARNING: Unable to verify timestamp for fltMgr.sys
*** ERROR: Module load completed but symbols could not be loaded for fltMgr.sys
************************************************** *****************************
* *
* Bugcheck Analysis *
* *
************************************************** *****************************

Use !analyze -v to get detailed debugging information.

BugCheck 1000000A, {58, ff, 0, 804d93be}

***** Kernel symbols are WRONG. Please fix symbols to do analysis.

************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************
************************************************** ***********************
*** ***
*** ***
*** Your debugger is not using the correct symbols ***
*** ***
*** In order for this command to work properly, your symbol path ***
*** must point to .pdb files that have full type information. ***
*** ***
*** Certain .pdb files (such as the public OS symbols) do not ***
*** contain the required information. Contact the group that ***
*** provided you with these symbols if you need this command to ***
*** work. ***
*** ***
*** Type referenced: nt!_KPRCB ***
*** ***
************************************************** ***********************
************************************************** *******************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y <symbol_path> argument when starting the debugger. *
* using .sympath and .sympath+ *
************************************************** *******************
************************************************** *******************
* Symbols can not be loaded because symbol path is not initialized. *
* *
* The Symbol Path can be set by: *
* using the _NT_SYMBOL_PATH environment variable. *
* using the -y <symbol_path> argument when starting the debugger. *
* using .sympath and .sympath+ *
************************************************** *******************
Probably caused by : ntoskrnl.exe ( nt+23be )

Followup: MachineOwner
---------

xrayn

Damit kann man leider garnichts anfangen, oder siehst du iwelche Sinnvollen Informationen. In dem Punkt hatte lightsaver wohl recht, aber sei es drum. Lade die die Symbols runter, setze den Symbolpfad und benutze "!analyze -v". Dann bekommst du bessere mehr Informationen.

hier noch ein paar Links:
http://www.microsoft.com/whdc/DevToo...ebugstart.mspx
http://www.microsoft.com/whdc/DevToo...symbolpkg.mspx

testtestson

ich sehe probleme mit ntoskrnl.exe
ich lade jetzt die symbols runter und melde mich wenn ich die besseren infos habe.

so folgende daten erscheinen (mbam.exe ist ein antimalware prg):

ps: ich warte immernoch auf eine hilfsanweisung!!!

************************************************** *****************************
* *
* Bugcheck Analysis *
* *
************************************************** *****************************

IRQL_NOT_LESS_OR_EQUAL (a)
An attempt was made to access a pageable (or completely invalid) address at an
interrupt request level (IRQL) that is too high. This is usually
caused by drivers using improper addresses.
If a kernel debugger is available get the stack backtrace.
Arguments:
Arg1: 00000058, memory referenced
Arg2: 000000ff, IRQL
Arg3: 00000000, bitfield :
bit 0 : value 0 = read operation, 1 = write operation
bit 3 : value 0 = not an execute operation, 1 = execute operation (only on chips which support this level of status)
Arg4: 804d93be, address which referenced memory

Debugging Details:
------------------


READ_ADDRESS: 00000058

CURRENT_IRQL: ff

FAULTING_IP:
nt!ExAcquireResourceSharedLite+65
804d93be 66395e0c cmp word ptr [esi+0Ch],bx

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0xA

PROCESS_NAME: mbam.exe

LAST_CONTROL_TRANSFER: from f7a2f57c to 804d93be

STACK_TEXT:
a7c488d0 f7a2f57c 0000004c 00000001 00000000 nt!ExAcquireResourceSharedLite+0x65
a7c488f4 f7a34da9 88179008 00000001 00000000 fltMgr!FltpGetNextCallbackNodeForInstance+0x2a
a7c48928 f7a35366 89b71130 a93abbcd 89ea5594 fltMgr!FltpGetFileNameInformation+0x49
a7c48968 f7a2fef3 89ea5594 a7c4898c 00000000 fltMgr!FltGetFileNameInformation+0x114
a7c489d0 f7a32338 00ea5538 00000000 89ea5538 fltMgr!FltpPerformPostCallbacks+0x1c5
a7c489e4 f7a32867 89ea5538 88179008 a7c48a24 fltMgr!FltpProcessIoCompletion+0x10
a7c489f4 f7a32ef9 89c79218 88179008 89ea5538 fltMgr!FltpPassThroughCompletion+0x89
a7c48a24 f7a3f754 a7c48a44 00000000 00000000 fltMgr!FltpLegacyProcessingAfterPreCallbacksComple ted+0x269
a7c48a60 804e37f7 89c79218 88179008 88179008 fltMgr!FltpCreate+0x26a
a7c48a70 8056ef61 89f47018 888f7114 a7c48c18 nt!IopfCallDriver+0x31
a7c48a74 89f47018 888f7114 a7c48c18 00000018 nt!NtQueryInformationToken+0xe74
WARNING: Frame IP not in any known module. Following frames may be wrong.
a7c48b50 80563fec 89f47030 00000000 888f7070 0x89f47018
a7c48bd8 8056867a 00000000 a7c48c18 00000040 nt!ObpLookupObjectName+0x56a
a7c48c2c 8056f43b 00000000 00000000 00000001 nt!CmpCompareCompressedName+0x41
a7c48ca8 8056f50a 0012dca8 00100020 0012dc60 nt!NtQueryInformationToken+0x1384
a7c48d04 8056f5d2 0012dca8 00100020 0012dc60 nt!NtQueryInformationToken+0x143b
a7c48d44 804de7ec 0012dca8 00100020 0012dc60 nt!NtQueryInformationToken+0xc74
a7c48d44 7c90e4f4 0012dca8 00100020 0012dc60 nt!KiFastCallEntry+0xf8
0012def4 00000000 00000000 00000000 00000000 0x7c90e4f4


STACK_COMMAND: kb

FOLLOWUP_IP:
nt!ExAcquireResourceSharedLite+65
804d93be 66395e0c cmp word ptr [esi+0Ch],bx

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: nt!ExAcquireResourceSharedLite+65

FOLLOWUP_NAME: MachineOwner

MODULE_NAME: nt

IMAGE_NAME: ntoskrnl.exe

DEBUG_FLR_IMAGE_TIMESTAMP: 48a40bb9

FAILURE_BUCKET_ID: 0xA_nt!ExAcquireResourceSharedLite+65

BUCKET_ID: 0xA_nt!ExAcquireResourceSharedLite+65

Followup: MachineOwner
---------

Darkholylein

Moin,

so, das du nicht mehr warten musst:
in die Ereignissanzeige kommst du wie folgt:

Rechtsklick auf "Arbeitsplatz"--> "Verwalten"
Dann öffnet sich das Fenster "Computerverwaltung"
Dort klickst du auf "System" --> "Ereignissanzeige"
Dort kannst du dann zwischen verschiedenen Protokollen auswählen.
Für dich Momentan interessant sollten wohl "System" und "Anwendung" sein.

Dort schaust du einfach nach Fehlermeldungen. Die sind meistens sogar farblich gekennzeichnet.
Falls du dort dann nen Error entdeckst, machste Doppelklick drauf, und bekommst Details ausgeworfen.
Da steht dann z.B. auch noch ne Fehler-Nummer drin, die über google helfen sollte.

Hoffe das Hilft

Lg
Darky

testtestson

zur info der minidump bericht datiert von 18:38 uhr

also die eine fehlermeldung unter system ist ein problem mit der zeitanzeige (das wird wohl nicht zum absturz fuehren):

Details
Product: Windows Operating System
ID: 17
Source: W32Time
Version: 5.2
Symbolic Name: MSG_MANUAL_PEER_LOOKUP_FAILED_RETRYING
Message: Time Provider NtpClient: An error occurred during DNS lookup of the manually configured peer '%1'. NtpClient will try the DNS lookup again in %3 minutes. The error was: %2


und auch der zweite fehler in system sieht nicht vielversprechend aus:

Details
Product: Windows Operating System
ID: 30005
Source: ipnathlp
Version: 5.2
Symbolic Name: IP_AUTO_DHCP_LOG_DUPLICATE_SERVER
Message: The DHCP allocator has detected a DHCP server with IP address %1 on the same network as the interface with IP address %2. The allocator has disabled itself on the interface in order to avoid confusing DHCP clients.


unter anwendungen ist keine fehlermeldung.

Darkholylein

hmm, die sollten eigentlich nicht das Problem sein...
Von wann sind die denn?
War um den dreh rum ein Absturz?

Die 2 Meldungen beziehen sich eigentlich auf ein Netzwerk-Problem... und das sollte wirklich nicht zum Absturz führen

testtestson

der absturz war zu einer zeit in der ich nicht vor dem rechner war (zwischen 9:00-19:00Uhr) deshalb habe ich alle bericht aus diesem zeitraum gelistet. wann genau der absturz war, weiss ich nicht (ausser der zeitspanne oben).
durch den minidump bericht weiss ich allerdings, dass es wohl mein antimalware prg. war (siehe minidump bericht 2-3 nachrichten frueher).
ich habe jetzt nur die dinge gepostet, die ich aus den meldungen kamen, die du mir geraten hast nachzuschauen. meine meinung bzgl der fehlermeldungen ist aequivalent zu deiner: das fuehrte nicht zum absturz.


ich warte immernoch auf eine antwort was mir die minidump analyse bringt.
was sollte man unternehmen um abstürze zu unterbinden?
das prg loeschen? (ich hatte es 1 jahr ohne probs auf win xp)
es ist was anderes, was ich aber nicht gesehen habe?
ihr wisst es auch nicht?

lightsaver

Google hätte dir zum Beispiel diese Seite gezeigt: http://support.microsoft.com/default...d=kb;de;315263
Ich zitiere mal kurz von dieser Seite:
Ist deine Frage damit erstmal beantwortet?

Also dieses Minidump sagt erstmal aus, dass es ein Problem bei einem Lesezugriff gekommen ist. Schuld war hier erstmal dein Malwareprogramm.

Ich würde nun noch einige andere Minidumps überprüfen. ich gehe mal davon aus, dass du nicht schon nach einem BSOD hier gepostet hast sondern dass es wohl schon mehrere waren. War es nur der eine, dann würde ich mir erstmal keine Gedanken machen, waren es schon mehrere, dann wirst du ja sehen, ob das Programm immer wieder in diesem Zusammenhang auftritt. Sollte dem so sein, würde ich es mindestens mal komplett deinstallieren und dann neu installieren (in der neuesten Version).

testtestson

ja es waren mehrere. z.b. heute nacht wieder ohne dass diese prg lief:
bluescreen zeigte:

STOP: 0x0000008E (0xC0000005, 0xF7A352E6, 0xA8A328E0, 0x00000000)
fltMgr.sys - Address F7A352E6 base at F7A2F000, DateStamp 480251da

minidumpbericht:

************************************************** *****************************
* *
* Bugcheck Analysis *
* *
************************************************** *****************************

KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)
This is a very common bugcheck. Usually the exception address pinpoints
the driver/function that caused the problem. Always note this address
as well as the link date of the driver/image that contains this address.
Some common problems are exception code 0x80000003. This means a hard
coded breakpoint or assertion was hit, but this system was booted
/NODEBUG. This is not supposed to happen as developers should never have
hardcoded breakpoints in retail code, but ...
If this happens, make sure a debugger gets connected, and the
system is booted /DEBUG. This will let us see why this breakpoint is
happening.
Arguments:
Arg1: c0000005, The exception code that was not handled
Arg2: f7a352e6, The address that the exception occurred at
Arg3: a8a328e0, Trap Frame
Arg4: 00000000

Debugging Details:
------------------


EXCEPTION_CODE: (NTSTATUS) 0xc0000005 - The instruction at "0x%08lx" referenced memory at "0x%08lx". The memory could not be "%s".

FAULTING_IP:
fltMgr!FltGetFileNameInformation+94
f7a352e6 f702741e8b45 test dword ptr [edx],458B1E74h

TRAP_FRAME: a8a328e0 -- (.trap 0xffffffffa8a328e0)
ErrCode = 00000000
eax=a8a32984 ebx=00000000 ecx=a8a32a88 edx=00000000 esi=887a7064 edi=804e4cb5
eip=f7a352e6 esp=a8a32954 ebp=a8a3298c iopl=0 nv up ei pl nz na pe nc
cs=0008 ss=0010 ds=0023 es=0023 fs=0030 gs=0000 efl=00010206
fltMgr!FltGetFileNameInformation+0x94:
f7a352e6 f702741e8b45 test dword ptr [edx],458B1E74h ds:0023:00000000=????????
Resetting default scope

CUSTOMER_CRASH_COUNT: 1

DEFAULT_BUCKET_ID: DRIVER_FAULT

BUGCHECK_STR: 0x8E

PROCESS_NAME: update.exe

MISALIGNED_IP:
fltMgr!FltGetFileNameInformation+94
f7a352e6 f702741e8b45 test dword ptr [edx],458B1E74h

LAST_CONTROL_TRANSFER: from f7a30888 to f7a352e6

STACK_TEXT:
a8a3298c f7a30888 887a7064 a8a329ac a8a329dc fltMgr!FltGetFileNameInformation+0x94
a8a329ec f7a322a0 00a32a30 887a7008 88d0cfdc fltMgr!FltpPerformPreCallbacks+0x2d4
a8a32a00 f7a3f217 a8a32a30 f7a3d6aa 00000000 fltMgr!FltpPassThroughInternal+0x32
a8a32a18 f7a3f742 a8a32a30 88772ec0 88d0ce38 fltMgr!FltpCreateInternal+0x63
a8a32a4c 804e37f7 88d15af8 88d0ce28 88d0ce28 fltMgr!FltpCreate+0x258
a8a32a5c 8056ef61 89f47b68 8897041c a8a32c04 nt!IopfCallDriver+0x31
a8a32a60 89f47b68 8897041c a8a32c04 00000018 nt!NtQueryInformationToken+0xe74
WARNING: Frame IP not in any known module. Following frames may be wrong.
a8a32b3c 80563fec 89f47b80 00000000 88970378 0x89f47b68
a8a32bc4 8056867a 00000000 a8a32c04 00000040 nt!ObpLookupObjectName+0x56a
a8a32c18 8056f43b 00000000 00000000 04a74001 nt!CmpCompareCompressedName+0x41
a8a32c94 8056f50a 0012b9fc 40100080 0012b99c nt!NtQueryInformationToken+0x1384
a8a32cf0 8056f640 0012b9fc 40100080 0012b99c nt!NtQueryInformationToken+0x143b
a8a32d30 804de7ec 0012b9fc 40100080 0012b99c nt!NtQueryInformationToken+0xcf1
a8a32d30 7c90e4f4 0012b9fc 40100080 0012b99c nt!KiFastCallEntry+0xf8
0012b9f4 00000000 00000000 00000000 00000000 0x7c90e4f4


STACK_COMMAND: kb

FOLLOWUP_IP:
fltMgr!FltGetFileNameInformation+94
f7a352e6 f702741e8b45 test dword ptr [edx],458B1E74h

SYMBOL_STACK_INDEX: 0

SYMBOL_NAME: fltMgr!FltGetFileNameInformation+94

FOLLOWUP_NAME: MachineOwner

IMAGE_NAME: hardware

DEBUG_FLR_IMAGE_TIMESTAMP: 0

MODULE_NAME: hardware

FAILURE_BUCKET_ID: IP_MISALIGNED

BUCKET_ID: IP_MISALIGNED

Followup: MachineOwner
---------


da soll es update.exe sein (wahrscheinlich windowsupdate, naja bei jedem absturz ist es wahrscheinlich irgendein alibiprg, oder???)

achso auf wunsch ich habe noch 3 weitere berichte aus den letzten 3 tagen (02.04 war es system process, am 01.04 war es wieder die mbam.exe [antimalware prg] und am 30.03 die spyraser.exe) also das sieht doch so aus, als ob nicht die prg daran schuld sind, sondern das problem ein anderes ist, oder???

Knoxx

Naja, denkbar wäre, dass ein Programm eine wichtige Betriebssystemdatei korrumpiert hat und nun die Programme darauf zugreifen wollen und es daher zu kritischen Fehlern kommt...
Was hast du denn in den Tagen vor den BSOD installiert oder deinstalliert? Fällt dir irgendetwas ein, das du geändert hast?

Ein HijackThis-Log wäre evtl auch hilfreich. Des Öfteren werden solche BSOD auch von Malware verursacht...